세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  INFO-CON
Home > 전체기사 > 외신
[주말판] 보안 업계의 고민, 보안보다 커지기 시작했다
  |  입력 : 2019-03-09 16:28
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
보안을 넘어선 사회, 그 속에서 일어나는 각종 현상들에 대한 고민
사회적 약자에게 일어나는 일들은 일반 대중들에게 일어날 일들의 징조


[보안뉴스 문가용 기자] 2013년 조지 짐머만(George Zimmerman)이 아무런 무기를 소지하고 있지 않던 10대 소년 트레이본 마틴(Trayvon Martin)을 사살한 사건 때문에 재판이 열렸을 때 맷 밋셸(Matt Mitchell)은 뉴욕타임즈의 데이터 전문 기자였다. 그 재판에서 짐머만은 결국 정당방위로 무죄를 선고받았고, 당시 사건 장소 근처에서 살던 밋셸은 충격을 받았다. “지역 사회를 위해 뭔가를 해야 하지 않으면 안 될 것 같았습니다.”

[이미지 = iclickart]


밋셸의 눈에 마틴의 죽음은 수년 전부터 시작된 인종 프로파일링으로부터 쌓여온, 예견된 비극이었다. 기사 생활을 하면서 그는 사법 기관이 전자 감시 도구를 사용해 할렘의 소수자들에 대한 정보를 수집하고 있는 걸 목격했다. 당국은 자동차 번호판 리더기, CCTV 카메라, 소셜 미디어 모니터링 등을 계속해서 실시해왔다. 하지만 할렘의 많은 사람들은 이런 압도적 기술의 우위를 바탕으로 한 감시와 온라인 사기 등에 그 어떤 대처도 할 수 없었다.

그래서 밋셸은 크립토할렘(CryptoHarlem)이라는 단체를 만들어 할렘에 거주하는 빈민들을 대상으로 기본적인 암호화 툴들의 사용법을 가르쳐주기 시작했다. 대부분 흑인들이었다. 이것을 계기로 밋셸은 기자를 그만두고 ‘공익 사이버 보안 전문가’로서의 길을 밟기 시작했다. 10대 때부터 여러 가지 보안 기술을 독학으로 익혀왔던 그였기 때문에 가능했다. “80년대 후반부터 전 스스로를 해커라고 생각해왔습니다. 다만 당시에는 사이버 보안 전문가라는 일자리가 없었죠. 이제 제자리를 찾은 느낌입니다.”

밋셸은 현재 자신을 “해커이자 시민권 옹호자”라고 묘사한다. 낮에는 독일의 비영리 단체인 택티컬 테크(Tactical Tech)에서 비영리 단체, NGO, 시민단체를 대상으로 사이버 보안 훈련을 진행하거나 기술적으로 지원해주는 일을 한다. “결국 당신의 신원이나 신분, 정체성 때문에 제대로 된 대변인을 갖추지 못하고 있다면, 그 사람을 겨냥한 사회적 위협은 어마어마하게 증가합니다. 그게 지금 우리 사회의 현주소입니다. 그 위협들이 최근에는 디지털 형식을 갖추고 있죠.”

밋셸처럼 해킹과 보안 기술을 공익을 위해 사용하고자 하는 움직임이 일부 보안 전문가들 사이에서 일어나고 있다. 유명 보안 전문가인 브루스 슈나이어(Bruce Schneier)는 샌프란시스코에서 열린 RSA 컨퍼런스에서 포드재단(Ford Foundation)과 함께 ‘공익을 위한 기술’을 주제로 작은 트랙을 만들어 참가하기도 했다. 슈나이어는 “예전부터 법 전문가들은 지역 사회나 소외 계층을 위해 무료 법률 서비스를 제공해오곤 했다”며 “보안 산업도 해볼 수 있는 일이라고 생각한다”고 주장한다.

“대형 로펌들은 100% 수익 사업만을 하지 않습니다. 일정 비율은 이른바 ‘프로 보노’라는 명제 하에서 무료로 법률 서비스를 제공하죠. 기술 분야에서도 이러한 전통이 자리를 잡았으면 좋겠습니다. 이번 행사에서 공익 기술이라는 주제로 트랙을 운영하는 이유는, 보안 및 IT 기술자들에게 ‘여기에 이런 도움이 필요하며, 사회적 구멍이 존재한다’고 알리는 것이었습니다. 누군가는 해야 할 일이 분명하다고 믿고 있습니다.”

슈나이어는 지금 필요한 기술 관련 공익 사업으로 다음과 같은 것들을 꼽는다.
1) 국회와 전자프런티어재단(EFF)의 기술 정책 수립
2) 프라이버시 보호를 위한 프로젝트(예 : 토르, 시그널)
3) 비영리재단들을 위한 보안 베테랑들의 보안 기술 전수(예 : 해커스 포 채리티(Hackers for Charity))

한편 밋셸은 여전히 할렘의 여러 시민 회관 등에서 무료 워크샵을 진행해가며 필요한 사람들에게 기술을 가르치고 있다. 동시에 피싱 사기에 당한 사람들도 돕고, “할머니를 보호하고 싶다”는 손자들이나 “친구가 온라인 불링에 당하고 있다”는 아이들의 문제도 해결해주고자 노력 중에 있다. 물론 감시에 대한 이야기와 보호 방법도 여기서 다뤄진다. 소질이 있는 자들에게는 보안 기술을 가르쳐주기도 한다. 택티컬 테크에서 하는 일만큼이나 크립토할렘을 통해서 하는 일도 중요하다고 믿고 있다.

문제가 하나 있다면 ‘돈’일 수도 있다. 하지만 밋셸은 공익을 위한 사이버 보안 전문가로서만 살아가는 게 ‘가능하다’고 말한다. 그는 RSA 현장 강연을 통해 “공익을 위한 보안 전문가로서 살아가면서, 민간 기업에 소속된 보안 전문가처럼 돈을 버는 건 당연히 말도 안 되는 얘기지만, 그렇다고 가난하고 힘들게 살아야 하는 건 아니”라고 강조했다. “돈이요? 당연히 벌립니다. 다만 사기업 내 보안 전문가들처럼 고액 연봉자가 되는 건 아니라는 거죠.”

탄광 속 카나리아
이런 맥락에서 또 하나 기억해야 할 단체가 하나 있다. 토론토대학의 시티즌랩(Citizen Lab)이다. 기술, 인권, 보안의 개발, 정책, 법적 양상들을 연구하는 곳으로, 이곳의 수석 연구원인 존 스콧레일튼(John Scott-Railton)은 시민 사회를 위협하는 여러 요소들 중 표적 멀웨어 공격, 사이버 용병, 온라인 허위 정보 유포에 대해 연구하고 있다. 그는 “높은 위험에 노출되어 있는 공동체 내 최종 사용자들을 보호하려는 사이버 보안 산업의 방법론은 항상 교육과 훈련, 그리고 ‘개개인이 스스로를 책임져야 한다’는 것”이었다며 “적절한 보호를 위한 플랫폼을 제공하는 일은 드물었다”고 지적한다.

그러나 이런 생각들과 자세들이 서서히 변하고 있다고 한다. “지난 10여 년동안 이러한 ‘개인 책임론’이 얼마나 효용성이 없는지가 드러났습니다. 특별한 위험에 처한 공동체의 일원들을 보호하기 위해서는 개개인의 훈련과 교육 외에도 더 강력한 장치가 필요합니다. 보안 전문가들 사이에서 그러한 점을 인정하는 분위기가 확산되고 있습니다. ‘사용자가 문제’라는 지적이 점점 사라지고 있지요.”

스콧레일튼은 동료 연구원인 빌 마르크작(Bill Marczak)과 함께 UAE나 멕시코와 같은 국가들이 페가수스(Pegasus)라는 스파이웨어 프로그램을 점점 더 많이 기용해 자국민들을 감시하고 있다는 걸 발견했다. 그러면서 “위험에 노출된 공동체는 ‘탄광 속 카나리아’와 같은 역할을 한다”고 짚었다. 탄광 속 카나리아란, 닥쳐올 위험을 미리 경고하는 것을 뜻하는 관용어로, “취약한 공동체들이 겪는 일은 수년 후 일반 대중들에게 일어나는 것이 보통”이라고 스콧레일튼은 말했다. “그렇기 때문에 이런 공동체들이 스스로를 보호할 수 있도록 도와주는 건, 앞으로 일반 대중들에게 다가올 온라인 스파잉과 해킹 위협에 미리 투자하는 것과 같습니다.”

그러면서 “사이버 공격의 초기 단계에서 가장 흔하게 사용되는 기법인 피싱은 기술 기업들이 당장 내일부터 막을 수 있는 것”이라고 지적했다. “딱 하나만 변경하면 피싱 공격은 사라집니다. 이중인증 및 다중인증을 당장 내일부터 ‘필수 조항’으로 만들어버리면 됩니다. 모두가 모든 상황에서 이중인증을 하도록 강제한다면, 현재의 피싱 공격 대부분이 통하지 않게 되고, 따라서 대부분의 사이버 공격자들이 첫 단추를 낄 수 없게 됩니다. 하지만 기업들이 그렇게 하지 않죠. 사용자들이 불편하기 때문이죠. 진짜 필요한 조치는 취하지 않고, 사용자들이 알아서 나쁘고 의심스러운 것을 걸러내라고만 합니다.”

보안 업체들, 자선 단체가 되다
공익을 위한 움직임에 동참한 사이버 보안 업체들도 있다. 예를 들어 시스코(Cisco)의 자회사인 듀오시큐리티(DuoSecurity)의 경우, 자사의 다중인증 애프리케이션을 무료로 제공하고 있다. 하드웨어 인증 장치 제조사인 유비키(Yubikey)는 암호화 키를 크립토할렘에 꾸준히 기증하고 있다. 사이버 보안 훈련 플랫폼인 사이브러리(Cybrary) 역시 크립토할렘에 무료로 보안 훈련 코스를 제공하고 있다.

또 2018년 미국 중간선거 기간에 보안 업체들이 사회와 민주주의를 위해 할 수 있는 일들이 적지 않다는 게 드러나기도 했다. 당시 거대 기업인 알파벳(Alphabet)의 자회사 직소(Jissaw)를 비롯해 클라우드플레어(CloudFlare), 마이크로소프트(Microsoft), 맥아피(McAfee)와 같은 쟁쟁한 기업들이 전부 각종 보안 서비스와 제품들을 무료로 주지방 검사, 선거 위원회, 선거 운동 캠프에 제공했던 것이다. 이로써 ‘위험에 노출되어 있는 공동체’ 일원들이 안전하게 자신들의 할 일을 할 수 있었다.

물론 이러한 움직임에 대해서는 다른 해석도 있었다. 이런 업체들이 제공한 각종 계정 보호 장치, 디도스 완화 장치, 이메일 보안 솔루션, 멀웨어 방어 솔루션 등은 일정기간만 무료로 제공된 게 보통이었고(즉 선거 후로 서비스도 종료됐다), 그래서 일부 언론이나 시장 분석가들은 이 기업들이 기회를 노려 마케팅을 한 것뿐이라고 해석하기도 한 것이다.

그러나 직소의 경우 이러한 비판을 받는 게 온당치 못할 수도 있다. 직소라는 회사 자체의 목표가 전 세계 곳곳에 있는 ‘취약한 공동체들’을 돕는 것이고, 프로텍트 유어 일렉션(Protect Your Election)이라는 무료 클라우드 기반 선거 보안 서비스가 최근 우크라이나 선거를 보호하기위해 구축되기도 했기 때문이다. 직소는 우크라이나의 선거를 돕기 위해 직원들도 일부 파견했다. 프로텍트 유어 일렉션 서비스는 디도스 방어, 비밀번호 관리, 경보, 개인화 보안 권고 기능을 후보, 선거 캠프, 출판사, 기자, NGO, 선거 관리 기구에 제공됐다.

직소는 “체계적으로 탄압을 받고 인권 침해를 받는 공동체들을 보호하고 지원하기 위한 사업을 계속해서 벌이고 있다”며 “주로 분쟁의 최전선에 서게 된 사람들, 정보에 접근할 수 없도록 차단된 사람들, 사회와 공유할 만한 귀중한 정보를 가지고 있는 사람들이 대부분”이라고 설명한다. “직업으로 보면 기자, 활동가, 정치인 등이 저희의 도움을 많이 받는 편이며, 일부는 생명의 위협을 받는 일도 종종 겪습니다.”

그러면서 직소는 “점점 더 많은 기술 업체들이 이러한 움직임에 동참하고 있거나, 그럴 의사를 내비치고 있다”고 설명한다. “기술 업체들도 ‘취약한 공동체가 있고, 특별한 보호가 필요한 사람들이 존재한다’는 걸 인지하기 시작했습니다. 저희를 통해서도 관련 문의가 많이 들어오고 있는데요, 특히 어떤 그룹이 취약한지, 어떤 사람들이 위험에 처해 있는지, 어떤 도움과 도구가 필요한지를 주로 묻습니다. 보안에 대한 이해도를 높이기 위한 서비스를 자청하는 업체들도 있고요.”

슈나이어는 “선거 기간 동안 일부 업체들이 공동체에 서비스를 무료로 제공한 것은 고무적인 일”이라는 입장이다. “그러나 그것만으로는 충분하지 못합니다. 보안 산업이 사회를 위해 할 수 있는 일은 더 있을 것으로 보입니다. 아직 이러한 부분에서의 역할을 진지하게 고민하지 않고 있는 업체들도 많이 있는 것으로 알고 있습니다.”

슈나이어는 “사물인터넷 장비들이 우리 사회로 몰려 들어오고 있다는 건, 보안 업계가 사회적인 일들을 본격적으로 시작해야 할 때라는 뜻”이라고 설명한다. “더 많은 사회 구성원들이 사물인터넷 장비로 인한 피해를 입기 시작할 것입니다. 그런 와중에도 선거와 같은 중요한 일들은 주기적으로 발생할 것이고요. 드론이 하늘을 날아다니고, 보안 장비가 감시 장비로 활용되며, 일부 기업들만 인공지능을 훈련시킬 수 있는 데이터를 확보할 수 있고 또 다룰 수 있다는 현상들에 대해서 보안 업계가 대책을 마련해야 합니다. ‘발전’이라고만 볼 수 없는 현상들을 우리가 식별하고, 우리가 알려야 합니다.”
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
IBM 파워비즈 배너 2019년2월8일~2020년2월7일까지모니터랩 파워비즈 배너 시작 18년9월12일위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
신기술이 무서운 속도로 등장하고 있습니다. 가장 시급히 보안 장치/정책/규정규정/표준이 도입되어야 하는 분야는 무엇이라고 생각하십니까?
클라우드와 컨테이너
SDN(소프트웨어 정의 네트워크)
인공지능과 자동화
블록체인
소셜 미디어
기타(댓글로)